Onderzoekers konden code uitvoeren in VembuBDR-back-upsoftware door lek

Beveiligingsonderzoekers van het Dutch Institute for Vulnerability Disclosure hebben drie ernstige kwetsbaarheden gevonden in back-upsoftwarepakket Vembu. Het gaat om remote code executions waarbij een systeem potentieel op afstand kon worden overgenomen.

De kwetsbaarheden zitten volgens de onderzoekers in VembuBDR en VembuOffsiteDR. De lekken zitten in versies 3.7.0 en 3.9.1 van de software en zijn gerepareerd in versie 4.2.0.2. VembuBDR is software voor het maken van back-ups die vooral in enterpriseomgevingen wordt gebruikt. In het pakket zouden drie kwetsbaarheden zitten die het mogelijk maken om op afstand code uit te kunnen voeren zonder dat daarbij authenticatie nodig is.

Het eerste lek is CVE-2021-26471. Daarmee kan een aanvaller commando's uitvoeren via de HTTP-api van de software. In diezelfde api zit ook een andere kwetsbaarheid, CVE-2021-26473, die het mogelijk maakt bestanden op het systeem van een client te installeren. Die kunnen dan vervolgens op afstand worden geopend via een webserver. Het laatste lek, CVE-2021-26471, zit alleen in de Windows-client. Ook daar laat de api het toe een commando uit te voeren, wat ook kan met adminrechten. De kwetsbaarheden zijn ernstig; de CVE-classificaties krijgen een score van 9,8.

De onderzoekers vonden de kwetsbaarheden al lang geleden. In november 2020 en februari 2021 lichtten ze Vembu daarover in. De onderzoekers zeggen bij een scan in maart van dit jaar nog zeker duizend kwetsbare systemen met Vembu BDR op internet te hebben gevonden. Sindsdien heeft Vembu de kwetsbaarheden gevonden. De onderzoekers zeggen hun bevindingen nu te publiceren omdat er inmiddels amper meer kwetsbare systemen online zijn.